Любовь с первого файла в Figma: как мы создавали документы для идеального клиента
В этом кейсе мы расскажем историю стартапа в сфере медицинских данных, который доказал, что «Privacy by Design» — это не просто строчка в регламенте, а состояние души фаундера. Вы узнаете, как детальная подготовка на стороне клиента превращает сложнейший процесс комплаенса в увлекательное партнерство и позволяет получить документацию топового уровня даже при ограниченном бюджете.
Запрос
Все необходимое касательно приватности у клиента уже было продумано на этапе разработки продукта. Нам оставалось подготовить пакет всех необходимых документов для стартапа при небольшом бюджете.
Наше решение
Привлекли выпускников нашей стажировки Privacy Lab, разработали все необходимое и влюбились в проект, для которого приватность — не пустое слово, а ценность.
Ведущий консультант проекта
Анастасия Пархимович,
CIPP/E, старший консультанта Data Privacy Office.
С чего начинался проект?
К нам обратился небольшой стартап под руководством невероятно ответственного CEO. Продукт компании работает в одной из самых чувствительных сфер — он делает заботу об интимном здоровье более доступной. Сервис помогает находить и выбирать локации для сдачи анализов на заболевания, передающиеся половым путем, по наиболее подходящим условиям для пользователей. Это могут быть цены, локации, методы сбора материалов для анализов. Также сервис позволяет этично обмениваться результатами с партнером, обеспечивая защиту чувствительных медицинских персональных данных.
Запрос CEO был четким и профессиональным. Как создатель продукта с сильной технической экспертизой, она продумала механику приложения до мельчайших деталей. Однако, несмотря на хорошо выстроенную техническую базу, у компании не было необходимой документации. Создательница продукта понимала, что юридическая сторона — это не ее область. Ей была нужна помощь профессиональных консультантов, чтобы оформить существующие процессы в официальные документы, которые можно без тени сомнения продемонстрировать любому надзорному органу.
«Я изучала законодательство, регулирующее цифровые медицинские продукты, смотрела, как это устроено у других, искала по источникам всю возможную информацию, которая может пригодиться. Но, несмотря на это, у меня было ощущение, что информации недостаточно. Оставалось понимание, что в таком медицинском и очень чувствительном к персональным данным продукте могут оставаться риски, которые я просто упущу по отсутствию опыта. Это был мой не первый продукт, который я создавала. Раньше это была учебная платформа и, соответственно, совсем другой уровень обработки персональных данных. Перед запуском, когда продукт уже был готов, мне было важно, чтобы его посмотрел и провалидировал человек, который уже занимался подобными продуктами и у которого есть соответствующий опыт. Это было нужно, чтобы закрыть слепые зоны, ответить на мои вопросы, которые оставались, сделать документацию, причем внешнюю и внутреннюю, в общем сказать, что все действительно достаточно готово или не готово, чтобы я была уверена перед выпуском», — поделилась с нами CEO.
При этом бюджет был жестко ограничен рамками стартапа, что для полноценного комплаенса в такой сложной нише является довольно малой суммой.
Однако мудрый подход СЕО к самому продукту и наша любовь к интересным проектам помогли преодолеть эти препятствия.
Почему такой проект — мечта консультанта?
Сложность и одновременно прелесть этого проекта заключались в характере данных. Медицинские анализы — это не просто персональные данные, это «чувствительная» информация. Но в мире консалтинга по защите персональных данных обычно существует два типа клиентов. Первые приходят со словами: «У нас вообще ничего нет, сделайте нам хорошо», и в процессе работы у них внезапно «выплывают» пять забытых соцсетей, сотня инструментов аналитики и десятки скрытых процессов. Вторые — это «продвинутые пользователи», которые приходят с точечным запросом на сложный документ вроде DPIA, потому что их внутренний DPO перегружен. Этот клиент стал уникальным, «диковинным» третьим случаем.
Когда CEO клиента пришла на первую встречу, наш консультант, Анастасия Пархимович, и менеджер, Антон Поддубицкий, были буквально ошеломлены. Вместо общих объяснений клиентка открыла файл в визуальном редакторе Figma. Но это не были просто макеты дизайна. Это была детально расписанная карта всех процессов: каждый экран приложения, каждое действие пользователя, и от них — стрелочки к базам данных. Было четко указано, какие данные в какую базу сохраняются, на каких именно серверах и в каких локациях эти базы находятся. Она интуитивно, шаг за шагом, закрывала все возможные риски для участников, реализуя концепцию Privacy by Design на глубоком техническом уровне еще до того, как в проекте появился первый юрист.
Мы только выпускаемся. Про нас можно сказать, что мы стартап. И, соответственно, наша цель стояла не просто выпуститься, но и сделать так, чтобы privacy by design действительно было изначально. Не так, что мы создали продукт, а потом стараемся его подогнать под compliance, а наоборот: мы изначально его создаем, учитывая требования к таким продуктам. Нам было важно создать продукт, начать взаимодействие с клиниками, лабораториями, находить первые партнерства и вызывать доверие, что мы не подведем их бренд и пользователей.
Уровень проработки на этапе первой встречи заставил у консультантов «гореть глаза».
«Это был единственный случай в моей практике, когда клиент приходил настолько подготовленным», — делится ведущий консультант проекта, Анастасия Пархимович.
Почему это так важно?
Иногда работа над реестром данных начинается не с идеально структурированной карты процессов, а с «пазла» из разрозненных фрагментов. Бывает, что у команды есть несколько версий одного и того же документа («Updated», «Revised», «Final»), и они местами противоречат друг другу. В такие моменты задача консультанта — собрать картину воедино, уточнить детали и помочь навести порядок, чтобы дальше проект двигался уверенно и предсказуемо.
Этот клиент же сразу предоставил данные «кристальной чистоты».
За счет этого уже на первой встрече мы смогли принести клиенту пользу, что, в свою очередь, позволило ей понять преимущество работы с нашей командой:
«Это было не просто знакомство. Сразу пошли вопросы про архитектуру продукта, про потоки данных и взаимодействия между сторонами, ролями внутри этого продукта. На этой встрече присутствовала не только я, но и моя команда, включая разработчиков. И мне очень понравилась от них цитата, когда мы закончили звонок. Они сказали, что люди знают, что спрашивают. То есть, сразу возникло доверие как с моей стороны, так и со стороны команды», — вспоминает клиент.
Преимущество такой «подготовленности» для клиента — колоссальная экономия. В обычном проекте мы закладываем часы на многочисленные созвоны с отделами маркетинга, разработки, HR и продукта, чтобы собрать информацию. С этим же клиентом нам понадобился всего один уточняющий созвон вместо стандартных пяти. Для стартапа это означало, что они не платили за дополнительные часы и переработки, вызванные хаосом в данных. Скорость реакции клиента также была феноменальной: ответы на вопросы приходили либо в тот же день, либо на следующее утро. Благодаря всему этому проект завершить удалось в спокойном режиме меньше, чем за два месяца.
Для нас этот проект стал «благотворительностью по любви». Видя, что ценности приватности у фаундера стоят на том же уровне, что и у руководства нашей компании, мы решили вложиться в этот проект ресурсами, которые превышали изначальный бюджет. Работать с таким клиентом — это не просто «заполировать идеал», это возможность реализовать сложнейшие юридические конструкции на благодатной, уже подготовленной почве. Такой «мэтч» в плане интереса к проекту и намерений, создал на проекте очень доброжелательную и поддерживающую атмосферу, о которой отзывается CEO.
«Человек был словно участник команды: понимание не верхнеуровневое, а в корень. И это ощущение, что это не просто консультант, который дал документы и закрыл проект, а человек, с которым мы будем работать дальше. Это было искреннее вовлечение и просто человеческий подход. Было действительно комфортно общаться с консультантом как с человеком, который имеет только позитивные, добрые намерения на продукт. Это чувствовалось всей командой».
У вас пока нет идеального файла в Figma с потоками всех данных?
Если вы готовы к профессиональному аудиту вашей системы защиты персональных данных или хотите построить систему комплаенса с нуля, мы готовы помочь. Отсутствие идеального порядка в данных — не беда. Наша команда умеет превращать хаос из данных в понятную систему.
Как мы упаковали имеющуюся красоту
Чтобы проект получил документацию уровня «премиум» при бюджете стартапа, мы пошли на интересный эксперимент: привлекли к работе участников нашей Privacy Lab. Это была отличная синергия — стартап получил команду мотивированных исследователей, а специалисты из Privacy Lab — возможность поработать с реальным, живым и очень глубоким кейсом под супервизией опытного наставника.
На призыв поучаствовать в проекте откликнулись шесть человек. Анастасия Пархимович выступала в роли супервайзера, гарантируя, что качество итоговых документов будет соответствовать самым высоким стандартам.
Работа велась в специально созданном пространстве в Notion, где хранились записи встреч, задачи и дедлайны.
Для клиента мы подготовили полный пакет документов, часть из которых стала некоторой неожиданностью для CEO.
«Особенно я рада внутренней документации. Про существовании части из них я даже не знала. То есть, если я могла посмотреть на сторонние продукты, какие у них privacy policy, я могла иметь представление, что это, зачем и как этим пользоваться. А если мы говорим про внутренние документы, такие как RoPA, LIA (Register of Processing Activities — Реестр обработок персональных данных; Legitimate Interest Assessment — Оценка легитимности интереса — прим.ред.), для меня эти документы вообще были неизвестны. Поэтому я думаю его можно причислить вообще к одному наибольшему инсайту и артефакту, который был наиболее ценным, потому что это документы, которые я бы самостоятельно не составила и не знала бы, как этим пользоваться в дальнейшем».
«Жемчужиной» проекта стал DPIA (Data Protection Impact Assessment). DPIA — это большой аналитический документ (иногда на 15 и более страниц), который детально описывает все риски для приватности и меры по их минимизации. Для продукта, работающего с медицинскими данными, DPIA является обязательным и критически важным.
Кроме этого мы перевели ту самую идеальную Figma-схему на язык юридических обязательств. Так мы оформили все процессы и создали базу, которую компания может предъявить любому регулятору как доказательство своей добросовестности.
Еще одной положительной стороной проекта была работа участников Privacy Lab. В процессе работы они показали себя наилучшим образом. Именно их упорство позволило выдать результат, которым были довольны и мы, и клиент.
Ну а Анастасия Пархимович, как ведущий консультант, на протяжении всего проекта оказывала Наталье помощь в организации работы с персональными данными внутри продукта.
«Мне понравилось, когда Анастасия смотрела, как мы собираем данные. Она предлагала какие-то варианты, чтобы могли собрать меньше данных и таким образом все еще удовлетворять наши потребности как пользователей, так и по бизнес-процессам. И вот эти инсайты, когда мы находили точки, где мы можем еще меньше данных взять, но при этом не потерять качество, стали в основе. Это взаимодействие изменило наш продукт, и мы его в процессе дорабатывали».
Итог
Этот кейс — история о том, как ответственность и структурированное мышление фаундера превращаются в реальную финансовую выгоду. Благодаря тому, что компания внедрила Privacy by Design на этапе разработки и подготовила визуальную карту данных, проект прошел максимально гладко, быстро и эффективно. Мы смогли привлечь ресурсы нашей Лаборатории и создать документы экспертного уровня, заложив фундамент для будущего масштабирования продукта.
Советы для тех, кто хочет так же:
1) Рисуйте схемы данных (Data Flow) заранее. Неважно, где — в Figma, Miro или просто на бумаге. Важно понимать: откуда данные приходят, где хранятся (облако или свои сервера) и куда двигаются.
2) Наводите порядок в версиях. Отсутствие противоречивых документов — это сохранность вашего времени и денег.
3) Не бойтесь сложных сфер. Если ваш продукт работает с чувствительными данными, качественный комплаенс — это ваше главное конкурентное преимущество и страховка от «скандальных» запросов пользователей.
Рассылка Data Privacy Office
А в ней — скидка 10 % на курс GDPR DPP, полезные материалы от экспертов и наши новости.
